Zitat: Original von Trineas Es ist keine Sicherheitslücke gewesen. Wenn man den Entwicklern nicht trauen kann, dass sie ein Tool nicht missbrauchen, dann dürften sie ja überhaupt nichts über Steam veröffentlichen. Darüber könnten sie Viren und Malware verbreiten, viel schlimmere Dinge als sie jemals mit HTML anstellen könnten. |
Es ist eben schon eine Sicherheitslücke gewesen. EIne Zeit lang war es möglich, über JavaScript Facebook-Seiten zu liken. So etwas würde Valve nicht mitkriegen und die Spielefirma freut sich über Likes.
Und da es anscheinend nicht so schwer ist, sein "Spiel" in den Store zu bringen, ist dies durchaus für andere Angreifer ein interessantes Ziel. StringEpsilon hat ja noch ein paar Beispiele genannt (an Session-Klau hab ich gar nicht gedacht, danke dafür).
Wenn ich Steam verwende, dann vertraue ich darauf, dass Valve die Plattform sicher hält. Dieses Gefühl wurde mir unter anderem auch dadurch gegeben, dass sie bisher alle Sicherheitsprobleme offen diskutiert haben und nicht versucht haben, unter den Tisch zu kehren. Und ich sehe XSS als kritische Sicherheitslücke und bin deshalb sehr glücklich, dass das behoben wurde.